在校自己写了一个课程小程序,如何规避风险

今年一月的时候突发奇想逆向了学校的教务系统,遂发现了一个平行越权的漏洞,可以实现只需要学号,就能获取到该学号下的周课程,考试成绩,期末考试信息.然后我没想着报告漏洞,而是利用这个漏洞做了一款小程序出来,最开始只是方便我自己寝室使用,但最近学校官方的 app 跟系统崩溃了几天,导致我的小程序也宕机了一阵,结果学校的漏洞接口好了,但是它的登入鉴权没好,所以我的小程序利用漏洞率先恢复致使涌入了一大批用户.

**对此想问下各位大佬一些问题:**

1. 因为我临近大四,马上不在学校,马上成为校外人士,如果出现一些法律问题,可能没有校内学生那么好处理,是否要去联系学校做个备案
2. 但是我利用的教务系统漏洞,如果跟学校谈,学校修复了漏洞,我这个小程序也就马上死了,我又不想夭折的那么快
3. 或者说我可以把源码卖给学弟学妹??让我回本一下认证费服务器啥的可行吗

pelloz

30 天前

你在想啥呢，赶紧下架，删除代码，拒不承认。最多好心给教务处发个匿名邮件指出他们的漏洞。
我那个利用漏洞获利的学长被公安局从教室直接带走，可是吃了三年国家饭。当然他用的是腾讯的漏洞，你用的是学校的漏洞，但是性质没有区别！！

Light3

30 天前

规避风险就是关了
等找到你的时候你说啥也没用

你这基本就是刑的
毕竟在未经授权的情况下侵入教务系统
而且获取学号就能获取各种信息
很刑跟灰产没有任何区别

body007

30 天前

只需要学号就能获取信息，那么同学之间互查信息，是否构成侵犯隐私的行为。如果仍需要先登陆学校某系统才能看的话会好些（否则我作为用户肯定要举报的）。用户量越来越多，难保不会被学校知道，早点关了吧。

Mogugugugu

30 天前

好家伙、、、别以为不改数据就没事，把服务器搞挂了或者数据泄露了，学校反手就会报警，一查一个准，不是你全责也会把你牵扯出来。。。

都大四了稳稳当当的毕个业吧，这玩意可能不会出事，但是一旦出事，你这 4 年白混，甚至有概率进去吃三年饭，想想你能承担这个后果吗？

jimages

30 天前

1. 这活我之前做过，日活 8k ，注册用户 3w 。不一样的是我让用户自己输入的教务密码，相对来说风险小一些。这个我们和教务处的老师沟通过，只要你不是恶意，问题不大。但最主要的问题不是这个。

2. 最主要的问题是你这个小程序不合规，你必须通过《教育移动互联网应用程序备案》，否则 APP 是不合规的，你都大四，就算是学校把你收归己有，也必须通过备案的。这个备案要求还挺高的。楼主可以看一下。

Jinnrry

30 天前

我大学的时候，跟学校领导关系很好，当时我们学校教务系统很垃圾，每次选课都崩溃，然后我帮忙加了几个索引，改了一些存储过程，后来选课，查成绩基本不会奔溃了。那之后学校领导把学校财务，教育，学工的系统全部给我维护了。（甚至正方的维护人员都得听我管）

然后我就直接连数据库，写了一套成绩查询，课表查询，学校领导高兴得不行，还专门从学校机房弄了台服务器给我，然后每个月走勤工助学给我发几百块维护费

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1045186

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.